Neuerungen bei Direct Routing
In diesem Artikel werden die Neuerungen in Direct Routing beschrieben. Überprüfen Sie häufig nach Updates.
EKU-Erweiterungen für SBC-Zertifikate – Test
Am 5. März 2024 (ab 9:00 Uhr UTC) führt Microsoft einen 24-Stunden-Test seiner Infrastruktur durch. Während dieser Zeit müssen SBCs-Zertifikate (Session Border Controller) sowohl die Client- als auch die Serverauthentifizierung für ihre Erweiterungen für erweiterte Schlüsselverwendung (Extended Key Usage, EKU) enthalten. Wir bitten Sie, sicherzustellen, dass die EKU-Erweiterung Ihres Zertifikats Serverauthentifizierung und Clientauthentifizierung enthält, um eine Beeinträchtigung des Diensts zu vermeiden.
Wenn Ihre EKU-Erweiterung des SBCs-Zertifikats nicht sowohl die Server- als auch die Clientauthentifizierung enthält, können Ihre SBCs keine Verbindung mit der Microsoft-Infrastruktur herstellen.
Beachten Sie, dass die letzte Umstellung zum Anfordern der Server- und Clientauthentifizierung für EKU am 19. März 2024 erfolgt.
Weitere Informationen finden Sie unter Öffentliches vertrauenswürdiges Zertifikat für den SBC.
Änderung des SIP-Zertifikats in die MSPKI-Zertifizierungsstelle in DoD- und GCCH-Clouds
Microsoft 365 aktualisiert Dienste, die Messaging, Besprechungen, Telefonie, Sprache und Video unterstützen, um TLS-Zertifikate aus einer anderen Gruppe von Stammzertifizierungsstellen (CAs) zu verwenden. Zu den betroffenen Endpunkten gehören Microsoft Teams Direct Routing SIP-Endpunkte, die für PSTN-Datenverkehr in Office 365 Government GCC High (GCCH) und DoD-Bereitstellungen verwendet werden. Der Übergang zu Zertifikaten, die von der neuen Zertifizierungsstelle für SIP-Endpunkte ausgestellt werden, beginnt im Mai 2024. Dies bedeutet, dass vor Ende April 2024 Maßnahmen ergriffen werden müssen.
Die neue Stammzertifizierungsstelle "DigiCert Global Root G2" wird von Betriebssystemen wie Windows, macOS, Android und iOS sowie von Browsern wie Microsoft Edge, Chrome, Safari und Firefox als vertrauenswürdig eingestuft. Es ist jedoch wahrscheinlich, dass Ihr SBC über einen manuell konfigurierten Zertifikatstammspeicher verfügt. WENN JA, MUSS DER SPEICHER IHRER SBC-ZERTIFIZIERUNGSSTELLE AKTUALISIERT WERDEN, UM DIE NEUE ZERTIFIZIERUNGSSTELLE EINZUSCHLIEßEN, UM DIENSTBEEINTRÄCHTIGUNGEN ZU VERMEIDEN. SBCs, die die neue Stammzertifizierungsstelle nicht in ihrer Liste der zulässigen Zertifizierungsstellen enthalten, erhalten Zertifikatüberprüfungsfehler, die sich auf die Verfügbarkeit oder Funktion des Diensts auswirken können. Sowohl die alte als auch die neue Zertifizierungsstelle MÜSSEN vom SBC als vertrauenswürdig eingestuft werden– ENTFERNEN SIE DIE ALTE ZERTIFIZIERUNGSSTELLE NICHT. Informationen zum Aktualisieren der Liste der akzeptierten Zertifikate auf Ihrem SBC finden Sie in der Dokumentation des SBC-Anbieters. Sowohl das alte als auch das neue Stammzertifikat müssen vom SBC als vertrauenswürdig eingestuft werden. Heute werden die tls-Zertifikate, die von Microsoft SIP-Schnittstellen verwendet werden, mit der folgenden Stammzertifizierungsstelle verkettet:
Allgemeiner Name der Zertifizierungsstelle: DigiCert Global Root CA Thumbprint (SHA1): a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 Das alte Zertifizierungsstellenzertifikat kann direkt von DigiCert heruntergeladen werden: http://cacerts.digicert.com/DigiCertGlobalRootCA.crt
Neue TLS-Zertifikate, die von Microsoft-SIP-Schnittstellen verwendet werden, werden jetzt bis zur folgenden Stammzertifizierungsstelle verkettet: Allgemeiner Name der Zertifizierungsstelle: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4 Das neue Zertifizierungsstellenzertifikat kann direkt von DigiCert heruntergeladen werden: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
Weitere Informationen finden Sie im technischen Leitfaden unter https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide So testen und bestätigen Sie ihre SBCs-Zertifikatkonfiguration vor der Änderung: Microsoft hat einen Testendpunkt vorbereitet, mit dem überprüft werden kann, ob SBC-Appliances Zertifikaten vertrauen, die von der neuen Stammzertifizierungsstelle (DigiCert Global Root G2) ausgestellt wurden. Wenn Ihr SBC eine TLS-Verbindung mit diesem Endpunkt herstellen kann, sollte ihre Konnektivität mit Teams-Diensten von der Änderung nicht betroffen sein. Diese Endpunkte sollten nur für SIP OPTIONS-Pingnachrichten und nicht für Sprachdatenverkehr verwendet werden. Sie sind keine Produktionsendpunkte und werden nicht durch redundante Konfigurationen unterstützt. Dies bedeutet, dass es zu Ausfallzeiten mit mehreren Stunden und einer Verfügbarkeit von etwa 95 % zu rechnen ist.
Testendpunkt-FQDN für GCCH: x.sip.pstnhub.infra.gov.teams.microsoft.us Port: 5061
Testendpunkt-FQDN für DoD: x.sip.pstnhub.infra.dod.teams.microsoft.us Port: 5061
Abschließender Wechsel des SIP-Zertifikats zur neuen MSPKI-Zertifizierungsstelle
Nach zwei Tests am 5. und 19. September führt Microsoft am 3. Oktober ab 10:00 Uhr UTC den endgültigen Wechsel zur neuen Zertifizierungsstelle durch. Alle Microsoft SIP-Endpunkte werden schrittweise auf zertifikate umgestellt, wobei die Zertifikatkette ein Rollup zur Zertifizierungsstelle "DigiCert Global Root G2" (CA) führt.
Wenn Ihre Session Border Controller (SBCs) nicht ordnungsgemäß mit der neuen Zertifizierungsstelle (Certificate Authority, CA) konfiguriert sind, schlagen eingehende und ausgehende Direct Routing-Anrufe nach dem Wechsel fehl. Wenden Sie sich direkt an Ihren SBC-Anbieter, um weitere Informationen zur SBC-Konfiguration zu erhalten.
Die Änderungsanforderung und der Test wurden Direktroutingkunden über Nachrichtencenterbeiträge sowie Service Health-Vorfälle im Microsoft Admin Portal (MC540239, TM614271, MC663640, TM674073, MC674729) mitgeteilt.
Sip-Zertifikat zu MSPKI-Zertifizierungsstelle ändern zusätzliche Tests
Am 19. September (ab 16:00 Uhr UTC) führt Microsoft einen 24-stündigen Test durch, bei dem alle Microsoft SIP-Endpunkte so umgestellt werden, dass Zertifikate verwendet werden, bei denen für die Zertifikatkette ein Rollup zur Zertifizierungsstelle "DigiCert Global Root G2" durchgeführt wird. In Ihrer SBC-Konfiguration muss eine neue Zertifizierungsstelle (Certificate Authority, CA) hinzugefügt werden, und die alte Baltimore-Zertifizierungsstelle muss beibehalten werden. ersetzen Sie nicht die alte Zertifizierungsstelle. Wenn Ihr SBC dieser Zertifizierungsstelle nicht vertraut, können Sie während des Tests keine Verbindung mit Teams SIP-Endpunkten herstellen. Die endgültige Umstellung auf die neue Zertifizierungsstelle (Certificate Authority, CA) erfolgt am 3. Oktober.
Wenn Sie Ihre SBCs-Zertifikatkonfiguration vor der Änderung testen und bestätigen möchten, hat Microsoft einen Testendpunkt vorbereitet, mit dem Sie überprüfen können, ob SBC-Appliances Zertifikaten vertrauen, die von der neuen Stammzertifizierungsstelle (DigiCert Global Root G2) ausgestellt wurden. Dieser Endpunkt sollte nur für SIP OPTIONS-Pingnachrichten und nicht für Sprachdatenverkehr verwendet werden. Wenn Ihr SBC eine TLS-Verbindung mit diesem Endpunkt herstellen kann, sollte ihre Konnektivität mit Teams-Diensten von der Änderung nicht betroffen sein.
FQDN des Testendpunkts: sip.mspki.pstnhub.microsoft.com
Port: 5061
Sip-Zertifikat zu MSPKI-Zertifizierungsstelle – Änderungstest
Am 5. September (ab 9:00 Uhr UTC) führt Microsoft einen 24-Stunden-Test durch, bei dem alle Microsoft SIP-Endpunkte so umgestellt werden, dass Zertifikate verwendet werden, bei denen die Zertifikatkette ein Rollup zur Zertifizierungsstelle "DigiCert Global Root G2" (CA) durchführt. Wenn Ihr SBC dieser Zertifizierungsstelle nicht vertraut, können Sie möglicherweise keine Verbindung mit Teams SIP-Endpunkten herstellen.
Wenn Sie Ihre SBCs-Zertifikatkonfiguration vor der Änderung testen und bestätigen möchten, hat Microsoft einen Testendpunkt vorbereitet, der verwendet werden kann, um zu überprüfen, ob SBC-Appliances Zertifikaten vertrauen, die von der neuen Stammzertifizierungsstelle (DigiCert Global Root G2) ausgestellt wurden. Dieser Endpunkt sollte nur für SIP OPTIONS-Pingnachrichten und nicht für Sprachdatenverkehr verwendet werden. Wenn Ihr SBC eine TLS-Verbindung mit diesem Endpunkt herstellen kann, sollte ihre Konnektivität mit Teams-Diensten von der Änderung nicht betroffen sein.
FQDN des Testendpunkts: sip.mspki.pstnhub.microsoft.com
Port: 5061
Änderung des SIP-Zertifikats in die MSPKI-Zertifizierungsstelle
Microsoft 365 aktualisiert Dienste, die Messaging, Besprechungen, Telefonie, Sprache und Video unterstützen, um TLS-Zertifikate aus einer anderen Gruppe von Stammzertifizierungsstellen (CAs) zu verwenden. Diese Änderung wird vorgenommen, da die aktuelle Stammzertifizierungsstelle im Mai 2025 abläuft. Zu den betroffenen Endpunkten gehören alle Microsoft SIP-Endpunkte, die für PSTN-Datenverkehr verwendet werden und TLS-Konnektivität nutzen. Der Übergang zu Zertifikaten, die von der neuen Zertifizierungsstelle ausgestellt wurden, beginnt Ende August.
Die neue Stammzertifizierungsstelle "DigiCert Global Root G2" wird von Betriebssystemen wie Windows, macOS, Android und iOS sowie von Browsern wie Microsoft Edge, Chrome, Safari und Firefox als vertrauenswürdig eingestuft. Es ist jedoch wahrscheinlich, dass Ihr SBC über einen manuell konfigurierten Zertifikatstammspeicher verfügt, der aktualisiert werden muss. SBCs, die die neue Stammzertifizierungsstelle nicht in ihrer Liste der zulässigen Zertifizierungsstellen enthalten, erhalten Zertifikatüberprüfungsfehler, die sich auf die Verfügbarkeit oder Funktion des Diensts auswirken können. Informationen zum Aktualisieren der Liste der akzeptierten Zertifikate auf Ihrem SBC finden Sie in der Dokumentation ihres SBC-Anbieters.
Heute werden die tls-Zertifikate, die von Microsoft SIP-Schnittstellen verwendet werden, mit der folgenden Stammzertifizierungsstelle verkettet:
Allgemeiner Name der Zertifizierungsstelle: Baltimore CyberTrust Root Thumbprint (SHA1): d4de20d05e66fc53fe1a50882c78db2852cae474
Neue TLS-Zertifikate, die von Microsoft-SIP-Schnittstellen verwendet werden, werden jetzt mit der folgenden Stammzertifizierungsstelle verkettet:
Allgemeiner Name der Zertifizierungsstelle: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4
Das neue Zertifizierungsstellenzertifikat kann direkt unter DigiCert: DigiCert Global Root G2 heruntergeladen werden.
Weitere Informationen finden Sie unter Office TLS-Zertifikatänderungen.
Neue Direct Routing-SIP-Endpunkte
Microsoft führt neue Signal-IP-Adressen für Teams Direct Routing SIP-Endpunkte ein. Um sicherzustellen, dass sich diese Änderung nicht auf die Dienstverfügbarkeit auswirkt, stellen Sie sicher, dass Ihr Session Border Controller und die Firewall für die Verwendung der empfohlenen Subnetze 52.112.0.0/14 und 52.122.0.0/15 für Klassifizierungs- und ACL-Regeln konfiguriert sind. Weitere Informationen finden Sie unter Microsoft 365, Office 365 und Office 365 GCC-Umgebungen.
Trunk-Herabstufen der Logik basierend auf SIP-Optionen
Ein neues Feature, das auf SIP-Optionen basiert, wird für die Trunkintegrität eingeführt. Wenn diese Option in der Gatewaykonfiguration aktiviert ist (siehe Set-CsOnlinePSTNGateway Cmdlet und SendSipOptions-Parameter), wird die Routinglogik für ausgehende Anrufe Trunks, die sip-Optionen nicht regelmäßig senden (erwarteter Zeitraum ist eine SIP-Option, die vom SBC pro Minute gesendet wird) an das Microsoft-Back-End herabstufen. Diese herabgestuften Trunks werden an das Ende der Trunksliste gesetzt, die für den ausgehenden Anruf verfügbar ist, und werden zuletzt versucht, was die Anrufeinrichtungszeit möglicherweise verkürzt.
Jeder für dieses Feature aktivierte Trunk, der nicht innerhalb von fünf Minuten mindestens eine SIP-Option an einen der regionalen SIP-Proxys von Microsoft (NOAM, EMEA, APAC, OCEA) sendet, gilt als herabgestuft. Wenn ein Trunk SIP-Optionen nur an eine Teilmenge der regionalen MICROSOFT-SIP-Proxys sendet, werden diese Routen zuerst ausprobiert, und der Rest wird herabgestuft.
Hinweis
Alle SBC(konfiguriert unter dem Kunden- oder Netzbetreibermandanten, bei dem SendSipOptions auf true festgelegt ist) die SIP-OPTIONEN nicht senden, werden herabgestuft. Kunden, die dieses Verhalten nicht wünschen, sollten SendSipOptions in ihrer SBC-Konfiguration auf false festlegen. Gleiches gilt für Carrier-Trunks, bei denen sich die SBC-Konfiguration entweder unter dem Netzbetreiber oder dem Kundenmandanten befindet. In diesen Fällen sendet der SBC SIP OPTIONS, wenn SendSipOptions auf true festgelegt ist.
SIP-Unterstützung
Am 1. Juni 2022 entfernt Microsoft die Unterstützung für sip-all.pstnhub.microsoft.com und sip-all.pstnhub.gov.teams.microsoft.us FQDNs aus der Direct Routing-Konfiguration.
Wenn vor dem 1. Juni keine Aktionen ausgeführt werden, können Benutzer keine Anrufe über Direct Routing tätigen oder empfangen.
So verhindern Sie Dienstbeeinträchtigungen:
- Verwenden Sie die empfohlenen Subnetze (52.112.0.0/14 und 52.120.0.0/14) für alle Klassifizierungs- oder ACL-Regeln.
- Beenden Sie die Verwendung des sip-all-FQDN beim Konfigurieren von Session Border Controls für Direct Routing.
Weitere Informationen finden Sie unter Planen von Direct Routing.
Hinweis
Die in diesem Dokument vorgestellten IP-Adressbereiche sind spezifisch für Direct Routing und können sich von denen unterscheiden, die für den Teams-Client empfohlen werden.
TLS-Zertifikate
Microsoft 365 aktualisiert Teams und andere Dienste, um einen anderen Satz von Stammzertifizierungsstellen (CAs) zu verwenden.
Weitere Informationen und eine vollständige Liste der betroffenen Dienste finden Sie unter TLS-Zertifikatänderungen an Microsoft 365-Diensten einschließlich Microsoft Teams.
Zertifizierungsstellen
Ab dem 1. Februar 2022 vertraut die Direct Routing-SIP-Schnittstelle nur noch Zertifikaten, die von Zertifizierungsstellen signiert wurden, die Teil des Microsoft-Programms für vertrauenswürdige Stammzertifikate sind. Führen Sie die folgenden Schritte aus, um Auswirkungen auf den Dienst zu vermeiden:
- Stellen Sie sicher, dass Ihr SBC-Zertifikat von einer Zertifizierungsstelle signiert ist, die Teil des Microsoft-Programms für vertrauenswürdige Stammzertifikate ist.
- Vergewissern Sie sich, dass die Erweiterung für erweiterte Schlüsselverwendung (Extended Key Usage, EKU) Ihres Zertifikats "Serverauthentifizierung" enthält.
Weitere Informationen zum Microsoft-Programm für vertrauenswürdige Stammzertifikate finden Sie unter Programmanforderungen – Microsoft Trusted Root Program.
Eine Liste der vertrauenswürdigen Zertifizierungsstellen finden Sie unter Microsoft Included CA Certificate List.
Ersetzen von Headern
Ab April 2022 lehnt Direct Routing SIP-Anforderungen ab, für die Replaces-Header definiert sind. Es gibt keine Änderungen an Flows, bei denen Microsoft den Replaces-Header an den Session Border Controller (SBC) sendet.
Überprüfen Sie Ihre SBC-Konfigurationen, und stellen Sie sicher, dass Sie keine Replaces-Header in SIP-Anforderungen verwenden.
TLS1.0 und 1.1
Um unseren Kunden die bestmögliche Verschlüsselung zu bieten, plant Microsoft, die TLS-Versionen 1.0 und 1.1 (Transport Layer Security) als veraltet zu kennzeichnen. Am 3. April 2022 erzwingt Microsoft die Verwendung von TLS1.2 für die Direct Routing-SIP-Schnittstelle.
Um Dienstbeeinträchtigungen zu vermeiden, stellen Sie sicher, dass Ihre SBCs für die Unterstützung von TLS1.2 konfiguriert sind und eine Verbindung mit einer der folgenden Verschlüsselungssammlungen herstellen können:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 z. B. ECDHE-RSA-AES256-GCM-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 z. B. ECDHE-RSA-AES128-GCM-SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 z. B. ECDHE-RSA-AES256-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 z. B. ECDHE-RSA-AES128-SHA256
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für